74 % des scores CVSS « élevés » ou « critiques » n’étaient pas applicables dans la plupart des cas, mais 60 % des équipes de sécurité et de développement consacrent toujours un quart de leur temps à remédier aux vulnérabilités.
Le son annuel de JFrog DevOps Platformsur les chaînes d’approvisionnement en logiciels 2024 (Software Supply Chain State of the Union 2024) identifie les tendances émergentes, les risques, ainsi que les meilleures pratiques permettant de les sécuriser.
Cette étude s’appuie sur les données d’utilisation de développeurs de plus de 7 000 organisations issues de JFrog Artifactory, des analyses de vulnérabilités courantes produites par l’équipe JFrog Security Research et des réponses issues d’enquêtes tierces menées auprès de 1 200 professionnels des nouvelles technologies du monde entier.
Quels sont les principaux enseignements de cette importante étude ? Premièrement, les CVEs sont parfois trompeuses. Les évaluations traditionnelles du CVSS s’intéressent uniquement à la sévérité de la vulnérabilité au lieu de la probabilité qu’elle soit exploitée (une analyse nécessitant la prise en compte du contexte).
L’équipe JFrog Security Research a abaissé la sévérité de 85 % des CVEs classées comme Critiques et de 73 % des CVEs classées comme élevées en moyenne après avoir analysé 212 CVEs notoires découvertes en 2023. En outre, JFrog a découvert qu’au sein du top 100 des images publiées par la communauté Docker Hub, 74 % des CVEs courantes dont le niveau de criticité était classé comme Élevé et Critique par le CVSS n’étaient pas exploitables.
Second constat majeur, les attaques Dos règnent en maître : 44 % des 212 CVEs notoires analysées risquaient de favoriser des attaques DoS, tandis que 17 % d’entre elles étaient susceptibles d’ouvrir la voie à l’exécution de code à distance (RCE).
Trop de temps à corriger des failles
Il s’agit en quelque sorte d’une bonne nouvelle pour les équipes de sécurité, car cette dernière pratique a un impact bien plus important par rapport aux attaques DoS en raison de leur capacité à offrir un accès complet à des systèmes backend.Troisième information intéressante, la sécurité pèse sur la productivité : 40 % des personnes interrogées affirment qu’il faut généralement une semaine ou plus pour obtenir l’autorisation d’utiliser un nouveau package/bibliothèque.
Ce délai retarde le lancement de nouvelles applications ou de mises à jour logicielles. En outre, les équipes de sécurité consacrent près de 25 % de leur temps à corriger des vulnérabilités, même lorsque celles-ci sont potentiellement surévaluées ou inexploitables au vu du contexte.
Méfiance envers la GenAI
Cette étude constate aussi une prolifération des outils de sécurité : près de la moitié (47 %) des informaticiens utilisent entre quatre et neuf solutions de sécurité pour les applications.Cependant, un tiers des répondants et des professionnels de la sécurité (33 %) en utilisent au moins 10. Cela confirme la tendance du marché à vouloir consolider les outils de sécurité et à s’éloigner des solutions ponctuelles.
Enfin, ce rapport souligne une utilisation disproportionnée d’outils d’IA/ML pour la sécurité. Alors que 90 % des personnes interrogées indiquent que leur organisation propose actuellement des outils d’intelligence artificielle/de machine learning pour soutenir leurs efforts d’analyse et de correction des vulnérabilités, seul 1 professionnel sur 3 (32 %) affirme que ces outils sont utilisés pour écrire du code.
Cet écart suggère que la majorité des entreprises se méfient encore des vulnérabilités potentielles que le code développé par une IA générative (Gen AI) pourrait introduire dans leurs logiciels.
En conclusion, les équipes DevSecOps doivent s’adapter au dynamisme du monde de la sécurité logicielle, un domaine où la satisfaction de la demande passe fréquemment par des innovations et où l’adoption de l’IA progresse et l’automatisation à un rythme effréné.